

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Esempi di policy a livello di risorse di Connect Customer
<a name="security_iam_resource-level-policy-examples"></a>

Connect Customer supporta le autorizzazioni a livello di risorsa per gli utenti, quindi puoi specificare azioni per loro per un'istanza, come illustrato nelle seguenti politiche.

**Topics**
+ [Negare tutte le azioni su un'istanza Connect Customer](#connect-access-control-resources-example-all)
+ [Negare le operazioni "elimina" e "aggiorna"](#connect-access-control-resources-example2)
+ [Consentire azioni per le integrazioni con nomi specifici](#connect-access-control-resources-integration-example)
+ [Consentire "crea utenti" ma negare se assegnati a un profilo di sicurezza specifico](#connect-access-control-resources-example3)
+ [Consentire la registrazione di azioni su un contatto](#connect-access-control-resources-example4)
+ [Consentire o negare le azioni API della coda per i numeri di telefono in una regione di replica](#allow-deny-queue-actions-replica-region)
+ [Visualizza AppIntegrations risorse Amazon specifiche](#view-specific-appintegrations-resources)
+ [Concedi l'accesso ai profili dei clienti Connect Customer](#grant-access-to-customer-profiles)
+ [Concedere l'accesso in sola lettura ai dati di Profili cliente](#grant-read-only-access-to-customer-profiles)
+ [Agenti AI di Query Connect solo per un Assistente specifico](#query-wisdom-assistant)
+ [Concedi l'accesso completo a Connect Customer Voice ID](#grant-read-only-access-to-voiceid)
+ [Concedi l'accesso alle risorse delle campagne outbound di Connect Customer](#grant-read-only-access-to-outboundcommunications)
+ [Limita la possibilità di cercare tra le trascrizioni analizzate da Lente a contatto Connect Customer](#restrict-ability-to-search-transcripts-contact-lens)

## Negare tutte le azioni su un'istanza Connect Customer
<a name="connect-access-control-resources-example-all"></a>

Un'istanza Connect Customer è la risorsa di primo livello all'interno di Connect Customer. Tutte le altre risorse secondarie vengono create all’interno del suo ambito. Per negare tutte le azioni su tutte le risorse all'interno di un'istanza Connect Customer, puoi utilizzare uno dei seguenti metodi: 
+ Utilizzare le chiavi di contesto `connect:instanceId`. 
+ Utilizza l’ARN dell’istanza seguito da un carattere jolly (\*).

La seguente policy di esempio nega tutte le azioni di connessione per l’istanza con instanceId 00fbeee1-123e-111e-93e3-11111bfbfcc1.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "connect:*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:instanceId": "00fbeee1-123e-111e-93e3-11111bfbfcc1"
                }
            }
        }
    ]
}
```

------

In alternativa, puoi negare tutte le azioni specificando l’ARN dell’istanza seguito da un carattere jolly (\*). La seguente policy di esempio nega tutte le azioni di connessione per l’istanza con l’ARN dell’istanza `arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1`. 

------
#### [ JSON ]

****  

```
{
"Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "connect:*"
            ],
            "Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1*"
        }
    ]
}
```

------

## Negare le operazioni "elimina" e "aggiorna"
<a name="connect-access-control-resources-example2"></a>

La seguente politica di esempio nega le azioni di «eliminazione» e «aggiornamento» per gli utenti in un'istanza Connect Customer. Utilizza una wild card alla fine dell'ARN dell'utente Connect Customer in modo che «delete user» e «update user» siano negati sull'ARN dell'utente completo (ovvero, tutti gli utenti Connect Customer nell'istanza fornita, come arn:aws:connect:us-east- 1:123456789012: -123e-111e-93e3- /00dtcddd1-123e-111e-93e3- /00dtcddd1-123e-111e-93e3- /00dtcddd1-123e-111e-93e3- e3-11111bfbcc1). instance/00fbeee1 11111bfbfcc1/agent

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "connect:DeleteUser",
                "connect:UpdateUser*"
            ],
            "Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/*"
        }
    ]
}
```

------

## Consentire azioni per le integrazioni con nomi specifici
<a name="connect-access-control-resources-integration-example"></a>

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAllAppIntegrationsActions",
            "Effect": "Allow",
            "Action": [
                "app-integrations:ListEventIntegrations",
                "app-integrations:CreateEventIntegration",
                "app-integrations:GetEventIntegration",
                "app-integrations:UpdateEventIntegration",
                "app-integrations:DeleteEventIntegration"
            ],
            "Resource":"arn:aws:app-integrations:*:*:event-integration/MyNamePrefix-*"
	}
    ]
}
```

------

## Consentire "crea utenti" ma negare se assegnati a un profilo di sicurezza specifico
<a name="connect-access-control-resources-example3"></a>

La seguente politica di esempio consente di «creare utenti» ma nega esplicitamente l'utilizzo di arn:aws:connect:us-west- 2:123456789012: instance/00fbeee1 -123e-111e-93e3- 11111bfbfcc1/security - profile/11dtcggg1 -123e-111e-93e3-11111bfbfcc17 come parametro per il profilo di sicurezza in [CreateUser](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateUser.html#API_CreateUser_RequestBody)richiesta.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "connect:CreateUser"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "connect:CreateUser"
            ],
            "Resource": "arn:aws:connect:us-west-2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc17/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17"
        }
    ]
}
```

------

## Consentire la registrazione di azioni su un contatto
<a name="connect-access-control-resources-example4"></a>

La seguente policy di esempio consente l'operazione “avvia la registrazione del contatto” su un contatto in un'istanza specifica. Poiché ContactID è un valore dinamico, viene utilizzato \*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "connect:StartContactRecording"
            ],
            "Resource": "arn:aws:connect:us-west-2:111122223333:instance/instanceId/contact/*",
            "Effect": "Allow"
        }
    ]
}
```

------

Imposta una relazione attendibile con *AccountID*.

Per le API di registrazione vengono definite le seguenti azioni:
+ StartContactRecording«connetti:»
+ «connettere:StopContactRecording»
+ «connettere:SuspendContactRecording»
+ «connettere:ResumeContactRecording»

### Consentire più azioni di contatto nello stesso ruolo
<a name="example4-allow-more-actions"></a>

Se viene utilizzato lo stesso ruolo per chiamare altre API di contatto, puoi indicare le seguenti azioni di contatto:
+ GetContactAttributes
+ ListContactFlows
+ StartChatContact
+ StartOutboundVoiceContact
+ StopContact
+ UpdateContactAttributes

Oppure utilizza un carattere jolly per consentire tutte le azioni di contatto, ad esempio: "connect:\*"

### Consentire più risorse
<a name="example4-allow-more-resources"></a>

Puoi utilizzare un carattere jolly anche per consentire l'utilizzo di più risorse. Ad esempio, puoi consentire tutte le azioni di connessione su tutte le risorse di contatto in questo modo:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "connect:*"
            ],
            "Resource": "arn:aws:connect:us-west-2:111122223333:instance/*/contact/*",
            "Effect": "Allow"
        }
    ]
}
```

------

## Consentire o negare le azioni API della coda per i numeri di telefono in una regione di replica
<a name="allow-deny-queue-actions-replica-region"></a>

Le [UpdateQueueOutboundCallerConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_UpdateQueueOutboundCallerConfig.html)API [CreateQueue](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateQueue.html)and contengono un campo di input denominato`OutboundCallerIdNumberId`. Questo campo rappresenta una risorsa di numeri di telefono che può essere richiesta a un gruppo di distribuzione del traffico. Supporta sia il formato ARN V1 del numero di telefono restituito [ListPhoneNumbers](https://docs.aws.amazon.com/connect/latest/APIReference/API_ListPhoneNumbers.html)da sia il formato ARN V2 restituito da. [ListPhoneNumbersV2](https://docs.aws.amazon.com/connect/latest/APIReference/API_ListPhoneNumbersV2.html) 

Di seguito sono riportati i formati ARN V1 e V2 supportati da `OutboundCallerIdNumberId`:
+ **Formato ARN V1**: `arn:aws:connect:{{your-region}}:{{your-account_id}}:instance/{{instance_id}}/phone-number/{{resource_id}}`
+ **Formato ARN V2**: `arn:aws:connect:{{your-region}}:{{your-account_id}}:phone-number/{{resource_id}}`

**Nota**  
È consigliabile utilizzare il formato ARN V2. Il formato ARN V1 diventerà obsoleto nelle prossime settimane.

### Fornire entrambi i formati ARN per le risorse dei numeri di telefono nella regione di replica
<a name="provide-both-arn-formats"></a>

Se il numero di telefono viene dichiarato a un gruppo di distribuzione del traffico, per allow/deny accedere correttamente alle azioni API di coda per le risorse dei numeri di telefono mentre si opera nella regione di replica, **è necessario fornire la risorsa numero di telefono nei formati ARN V1 e V2**. Se si fornisce la risorsa del numero di telefono in un solo formato ARN, non si otterrà il allow/deny comportamento corretto durante il funzionamento nella regione di replica.

### Esempio 1: negare l'accesso a CreateQueue
<a name="deny-access-createqueue"></a>

Ad esempio, stai operando nella regione di replica us-west-2 con l'account ` 123456789012` e l'istanza `aaaaaaaa-bbbb-cccc-dddd-0123456789012`. Si desidera negare l'accesso all'[CreateQueue](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateQueue.html)API quando il `OutboundCallerIdNumberId` valore è un numero di telefono dichiarato a un gruppo di distribuzione del traffico con ID di risorsa. `aaaaaaaa-eeee-ffff-gggg-0123456789012` In questo scenario, è necessario utilizzare la seguente policy.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DenyCreateQueueForSpecificNumber",
            "Effect": "Deny",
            "Action": "connect:CreateQueue",
            "Resource": [
                "arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
                "arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
            ]
        }
    ]
}
```

------

us-west-2 è la regione in cui viene effettuata la richiesta.

### Esempio 2: consenti solo l'accesso a UpdateQueueOutboundCallerConfig
<a name="deny-access-createqueue"></a>

Ad esempio, stai operando nella regione di replica us-west-2 con l'account `123456789012` e l'istanza `aaaaaaaa-bbbb-cccc-dddd-0123456789012`. Si desidera consentire l'accesso all'[UpdateQueueOutboundCallerConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_UpdateQueueOutboundCallerConfig.html)API solo quando il `OutboundCallerIdNumberId` valore è un numero di telefono dichiarato a un gruppo di distribuzione del traffico con ID di risorsa`aaaaaaaa-eeee-ffff-gggg-0123456789012`. In questo scenario, è necessario utilizzare la seguente policy.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "OnlyAllowUpdateQueueOutboundCallerConfigForSpecificNumber",
            "Effect": "Allow",
            "Action": "connect:UpdateQueueOutboundCallerConfig",
            "Resource": [
                "arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
                "arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
            ]
        }
    ]
}
```

------

## Visualizza AppIntegrations risorse Amazon specifiche
<a name="view-specific-appintegrations-resources"></a>

La seguente policy di esempio consente di recuperare le integrazioni di eventi specifici.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "app-integrations:GetEventIntegration"
            ],
            "Resource": "arn:aws:app-integrations:us-west-2:{{111122223333}}:event-integration/Name"
        }
    ]
}
```

------

## Concedi l'accesso ai profili dei clienti Connect Customer
<a name="grant-access-to-customer-profiles"></a>

I profili dei clienti Connect Customer utilizzano `profile` come prefisso per le azioni anziché`connect`. La seguente politica garantisce l'accesso completo a un dominio specifico in Connect Customer Customer Profiles.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "profile:*"
            ],
            "Resource": "arn:aws:profile:us-west-2:{{111122223333}}:domains/domainName",
            "Effect": "Allow"
        }
    ]
}
```

------

Impostare una relazione attendibile con accountID nel dominio domainName.

## Concedere l'accesso in sola lettura ai dati di Profili cliente
<a name="grant-read-only-access-to-customer-profiles"></a>

Di seguito è riportato un esempio per concedere l'accesso in lettura ai dati in Connect Customer Customer Profiles.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "profile:SearchProfiles"
            ],
            "Resource": "arn:aws:profile:{{us-east-1}}:{{111122223333}}:domains/domainName",
            "Effect": "Allow"
        }
    ]
}
```

------

## Agenti AI di Query Connect solo per un Assistente specifico
<a name="query-wisdom-assistant"></a>

La seguente policy di esempio consente di eseguire una query solo per un assistente specifico. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "wisdom:QueryAssistant"
            ],
            "Resource": "arn:aws:wisdom:{{us-east-1}}:{{111122223333}}:assistant/{{assistantID}}"
        }
    ]
}
```

------

## Concedi l'accesso completo a Connect Customer Voice ID
<a name="grant-read-only-access-to-voiceid"></a>

Connect Customer Voice ID utilizza `voiceid` come prefisso per le azioni anziché per la connessione. La seguente politica garantisce l'accesso completo a un dominio specifico in Connect Customer Voice ID: 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "voiceid:*"
            ],
            "Resource": "arn:aws:voiceid:us-west-2:{{111122223333}}:domain/domainName",
            "Effect": "Allow"
        }
    ]
}
```

------

Impostare una relazione attendibile con accountID nel dominio domainName.

## Concedi l'accesso alle risorse delle campagne outbound di Connect Customer
<a name="grant-read-only-access-to-outboundcommunications"></a>

Campagne in uscita utilizza `connect-campaign` come prefisso per le azioni anziché `connect`. La seguente policy concede l'accesso completo a una specifica campagna in uscita. 

```
{
    "Sid": "AllowConnectCampaignsOperations",
    "Effect": "Allow",
    "Action": [
        "connect-campaigns:DeleteCampaign",
        "connect-campaigns:DescribeCampaign",
        "connect-campaigns:UpdateCampaignName",
        "connect-campaigns:GetCampaignState"
        "connect-campaigns:UpdateOutboundCallConfig",
        "connect-campaigns:UpdateDialerConfig",
        "connect-campaigns:PauseCampaign",
        "connect-campaigns:ResumeCampaign",
        "connect-campaigns:StopCampaign"
    ],
    "Resource": "arn:aws:connect-campaigns:us-west-2:accountID:campaign/campaignId",
    }
```

## Limita la possibilità di cercare tra le trascrizioni analizzate da Lente a contatto Connect Customer
<a name="restrict-ability-to-search-transcripts-contact-lens"></a>

La seguente policy consente di ricercare e descrivere contatti, ma nega la ricerca di un contatto utilizzando trascrizioni analizzate da Connect Customer Contact Lens.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "connect:DescribeContact"
            ],
            "Resource": "arn:aws:connect:{{us-east-1}}:{{111122223333}}:instance/{{instance-id}}/contact/*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "connect:SearchContacts"
            ],
            "Resource": "arn:aws:connect:{{us-east-1}}:{{111122223333}}:instance/{{instance-id}}"
        },
        {
            "Sid": "VisualEditor2",
            "Effect": "Deny",
            "Action": [
                "connect:SearchContacts"
            ],
            "Resource": "arn:aws:connect:{{us-east-1}}:{{111122223333}}:instance/{{instance-id}}",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "connect:SearchContactsByContactAnalysis": [
                        "Transcript"
                    ]
                }
            }
        }
    ]
}
```

------